Lexipedia

16.3413 · Interpellanza · 2016-06-09

Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni

Liquidato

Wortlaut

L'Agenzia internazionale per l'energia atomica (AIEA) e gli esperti del settore mettono in guardia dai sempre più frequenti attacchi informatici agli impianti nucleari. Anche il professore B. M. Hämmerli, esperto di infrastrutture critiche, individua pericoli per esempio nel settore della produzione di energia (swissI CT 05/16). Si rileva con soddisfazione che il Consiglio federale ha deciso di affrontare globalmente questi pericoli. Tuttavia la "Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC)" risale al 2012, cioè a due generazioni di computer fa. Inoltre, essa non indica con quali misure si possono fronteggiare i pericoli concreti, mentre la situazione del rischio, secondo Hämmerli, si è notevolmente aggravata per quanto riguarda la frequenza e le somme di denaro in gioco. Perturbazioni a infrastrutture critiche, quali sono le centrali e gli altri impianti nucleari (PSI, Zwilag, ecc.), possono avere gravi conseguenze sulla popolazione. A maggior ragione, le autorità di vigilanza e la Confederazione hanno la responsabilità di fare in modo che la sicurezza possa essere garantita. Alla luce del fatto che, secondo la legge sull'energia nucleare, gli esercenti degli impianti sono responsabili della protezione dei loro sistemi e che neanche una separazione dei sistemi d'esercizio interni dal resto della rete informatica costituisce un ostacolo insormontabile agli attacchi degli hacker, si invita il Consiglio federale a rispondere alle seguenti domande:

1. Chi definisce l'entità del rischio socialmente sopportabile in relazione alle centrali nucleari e alle reti energetiche, e come?

2. Quali risultati emergono dalle analisi dei rischi e della vulnerabilità agli attacchi informatici nel settore delle centrali nucleari, delle reti e degli impianti energetici e come valuta il Consiglio federale tali risultati? Quali misure di protezione sono state adottate per quali scenari e qual è il loro percorso di attuazione?

3. Per contrastare efficacemente gli attacchi degli hacker sono stati effettuati i preparativi necessari, sono state definite le misure opportune e adeguatamente preparate le organizzazioni del settore energetico?

4. Il Consiglio federale ritiene che i preparativi messi in atto dalle centrali nucleari siano sufficienti? La vulnerabilità delle centrali viene testata nell'ambito di attacchi informatici simulati? Ogni quanto vengono effettuate queste simulazioni? Come si accerta della sicurezza delle centrali nucleari a questo riguardo?

5. In che misura è chiarita la computabilità dei costi per le misure volte alla riduzione dei rischi legati alla criminalità informatica?

6. A livello amministrativo, qual è la struttura organizzativa più adeguata per contrastare i rischi legati alla sicurezza informatica delle infrastrutture critiche, come le centrali nucleari? Il Consiglio federale prevede di centralizzare e unire le risorse oppure il tema continuerà a essere trattato in modo decentrato nei singoli uffici?

Stellungnahme des Bundesrates

1. Secondo gli articoli 4 e 5 della legge del 26 giugno 1998 sull'energia (RS 730.0), l'approvvigionamento energetico è compito dell'economia energetica. Esso implica anche un approvvigionamento energetico sicuro. Anziché con direttive generali relative alla sicurezza delle reti elettriche, la sicurezza è garantita mediante leggi speciali che stabiliscono esigenze concrete in materia di sicurezza degli impianti elettrici, degli impianti di accumulazione o degli impianti di trasporto in condotta. Spetta quindi ai gestori di rete determinare quali sono i livelli di rischio sopportabili e decidere quando devono essere adottate misure per ridurli. Nell'ambito della Strategia nazionale del 17 giugno 2012 per la protezione delle infrastrutture critiche (PIC; FF 2012 6875), è stata elaborata una guida per sostenere i gestori in questo compito. Dal processo di attuazione della guida e da ulteriori lavori PIC può emergere la necessità di precisare le direttive in materia di sicurezza, che deve poi essere esaminata dalle autorità specializzate.

Nel settore del nucleare, la legislazione stabilisce le esigenze di sicurezza vigenti. Anche nell'informatica, come nella protezione fisica contro azioni illecite ai sensi dell'allegato 2 dell'ordinanza del 10 dicembre 2004 sull'energia nucleare (RS 732.11), esiste una struttura a zone a sicurezza crescente. La direttiva ENSI-A06 sancisce i criteri per la valutazione dei rischi. La loro definizione si fonda su un quadro regolamentare superiore e tiene conto dell'obiettivo di sicurezza raccomandato dall'Agenzia internazionale per l'energia atomica (AIEA).

2./3. Le misure 2 e 12 della Strategia nazionale del 27 giugno 2012 per la protezione della Svizzera contro i cyberrischi (SNPC; FF 2013 499) concernono l'allestimento di analisi dei rischi e della vulnerabilità per i sottosettori critici secondo la Strategia PIC (nel settore energetico: approvvigionamento di petrolio, gas naturale e elettricità), nonché il rafforzamento e il miglioramento della resistenza nei confronti di perturbazioni e di eventi. Le analisi dei rischi e della vulnerabilità relative all'approvvigionamento di gas naturale e di elettricità sono concluse; quelle concernenti l'approvvigionamento di petrolio sono ancora in corso. Quanto all'approvvigionamento di gas naturale, sono già in fase di attuazione misure volte a migliorare la capacità di resistenza. Le misure in materia di approvvigionamento di elettricità sono attualmente elaborate dall'Ufficio federale per l'approvvigionamento economico del Paese in stretta intesa con l'Ufficio federale dell'energia, la Commissione federale dell'energia elettrica (Elcom), l'Ispettorato federale della sicurezza nucleare (IFSN) e i rappresentanti del settore dell'economia energetica.

I risultati disponibili mostrano sostanzialmente un'elevata dipendenza delle tecnologie dell'informazione e della comunicazione (TIC) nei sottosettori dell'approvvigionamento di gas naturale e di elettricità; la vulnerabilità che ne deriva dovrebbe continuare ad aumentare data la tendenza attuale alla digitalizzazione. In particolare, vengono identificate come risorse critiche i sistemi di monitoraggio e gestione (sistemi SCADA) nelle reti elettriche e del gas nonché le reti di comunicazione, resistenti alle crisi, dei gestori. Le misure definite nell'ambito dell'approvvigionamento di gas comprendono la creazione di un servizio di picchetto TIC del settore, la sicurezza della comunicazione in caso di crisi, la garanzia di sdoganamento in caso di panne TIC e la costituzione di una cerchia ristretta di clienti del settore del gas naturale presso la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani). Questa misura è già stata attuata da Melani ed è pertanto conclusa.

Le esigenze giuridiche e gli obblighi internazionali relativi al trattamento dei dati rilevanti per la sicurezza non consentono al Consiglio federale di fornire alcuna informazione, nell'ambito della presente risposta accessibile al pubblico, sulle ipotesi più recenti nell'ambito della sicurezza degli impianti nucleari.

4. L'IFSN è responsabile della vigilanza sugli impianti nucleari. L'ispettorato si occupa già dei cyberrischi e segue con attenzione gli sviluppi in questo ambito.

Gli esercenti degli impianti nucleari svizzeri devono valutare i rischi informatici, effettuare analisi dei rischi e adottare misure di protezione appropriate. L'articolo 22 della legge federale del 21 marzo 2003 sull'energia nucleare (RS 732.1) descrive gli obblighi del titolare dalla licenza e le misure di riequipaggiamento che egli deve adottare. A questo riguardo, il capoverso 2 lettera g trova applicazione, in particolare, anche nel settore della sicurezza informatica. Secondo questa disposizione, gli esercenti sono tenuti a riequipaggiare i loro impianti nella misura richiesta dall'esperienza e dallo stato della tecnica di riequipaggiamento e a prendere provvedimenti ulteriori sempre che contribuiscano a un'ulteriore riduzione del pericolo e siano adeguati. L'IFSN verifica costantemente il rispetto di questo obbligo.

5. L'Elcom verifica la computabilità dei costi delle reti elettriche. Secondo l'articolo 15 della legge del 23 marzo 2007 sull'approvvigionamento elettrico (RS 734.7), i costi d'esercizio di una rete sicura, performante ed efficiente possono essere considerati costi computabili. La guida PIC spiega come individuare le misure volte a ridurre i rischi che presentano un'efficienza dei costi ottimale. Sempre che sia possibile dimostrare che le misure soddisfano questo criterio, i loro costi di attuazione possono essere trasferiti sui clienti quali costi di rete computabili.

6. L'attuazione della SNPC è decentrata, ovvero si basa su un approccio consistente nel rafforzare le capacità e le responsabilità dei soggetti coinvolti. La Confederazione presta un sostegno sussidiario. Il comitato direttivo della SNPC presenta un rapporto al Consiglio federale per informarlo sull'avanzamento dei lavori. Il servizio di coordinamento della SNPC sostiene il processo sul piano operativo. Diversi uffici federali sono responsabili dell'attuazione delle misure SNPC.

Il comitato direttivo della SNPC è incaricato di presentare al Consiglio federale, entro la primavera del 2017, una verifica dell'efficacia della SNPC, proponendo eventuali adeguamenti. La struttura organizzativa da adottare per la gestione futura dei cyberrischi sarà determinata sulla base di tale verifica e non può pertanto essere anticipata in questo momento.

Risposta del Consiglio federale.